10 de dez. de 2010

SAIBA COMO SE PROTEGER CONTRA A CLONAGEM DO CARTÃO DE CRÉDITO

portal IDG Now! 10/12/2010 - Robert Vamosi (PC World/EUA)

Tudo evolui em TI - até as tecnologias utilizadas pelos golpistas que tentam extrair seus dados de crédito para realizar compras em seu nome.

Você está em um restaurante, em um bate-papo interessante e descontraído. De relance, você percebe que o garçom levou seu cartão de crédito e o devolveu em alguns segundos, acompanhado de um recibo. O fato passa despercebido até que, horas depois, você recebe uma ligação do banco: alguém fez compras pesadas em seu cartão, principalmente em eletrônicos. Teria sido mesmo você?

O skimming – ou golpe do chupa-cabras, como é conhecido no Brasil – é uma forma de fraude financeira de alta tecnologia, e está em ascensão no mundo todo. Ele se apoia em mecanismos sofisticados de leitura de dados para copiar as informações da fita magnética de seu cartão de débito ou crédito. Ele pode capturar tanto o número de seu cartão quanto o PIN (Personal Identification Number), que é como se costuma chamar a senha do cartão. E tem sido utilizado não só em restaurantes como também em postos de gasolina e caixas eletrônicos.

Furto high-tech

Tudo que o criminoso precisa fazer é embutir um leitor de fita magnética sobre a fenda existente em um caixa eletrônico, ou substituir uma máquina de ponto de venda. Quando você passa seu cartão, o aparelho primeiro lê as informações, que em seguida são lidas pelo aparelho original – neste ponto, a transação ocorre como esperado. Mas agora o criminoso tem uma cópia exata dos dados de seu cartão, sem que você tenha se dado conta.

Aparelhos chupa-cabras mais antigos exigiam que os criminosos voltassem para recolher as informações de tempos em tempos – com isso, eles corriam o risco de serem descobertos. Mas os novos chupa-cabras podem transmitir os dados do cartão aos ladrões, tanto via Bluetooth (que tem um alcance restrito) ou por celular GSM.

Dessa forma, os ladrões – que podem estar num carro próximo ou em uma sala do outro lado do planeta – capturam os números do cartão em tempo real, no instante em que a pessoa faz uma compra ou um saque.

Pague na bomba

Os postos de gasolina podem ser os mais vulneráveis ao golpe, pelo menos nos Estados Unidos. As bombas de hoje são tão automáticas que funcionam no sistema self-service, o que dá aos criminosos a oportunidade de embutir os chupa-cabras durante a madrugada. Em uma cidade do Estado do Colorado, um funcionário da manutenção descobriu chupa-cabras dentro de três bombas de gasolina. Em 2010, uma investigação policial descobriu que 180 postos de gasolina em Utah tinham chupa-cabras em suas bombas.

Um consumidor de Utah afirmou à reportagem da TV local: “Eu não posso dizer o que há de diferente entre um leitor real e um falso, por isso certamente eu iria passar meu cartão nele.”

Os ataques com chupa-cabras tornaram-se tão comuns no Arizona em 2009 que o governador daquele Estado ordenou aos policiais rodoviários que inspecionem os postos de gasolina das principais estradas.

Caixas eletrônicos, outro risco

Os caixas eletrônicos são vulneráveis pelas mesmas razões que se aplicam aos postos de gasolina. Eles ficam expostos e sem vigilância. Na Europa, organizações criminosas escolheram as ATMs como alvo e a onda já atinge as maiores cidades dos EUA.

Em uma apresentação na Black Hat USA 2008, os pesquisadores de segurança Nitesh Dhanjani e Billy Rios mostraram fotos de um armazém repleto de leitores e teclados de cartões magnéticos, moldados em plásticos de cores diversas para que pudessem ser instalados nas ATMs do mercado.

Em resposta à ameaça, o banco Absa, da África do Sul, introduziu um sistema de segurança que borrifa spray de pimenta em 11 das ATMs mais vítimas de chupa-cabras. Infelizmente, as equipes de manutenção que tentavam consertar os equipamentos eram, vez ou outra, vítimas do dispositivo.

Senhas

Coletar os dados do cartão de crédito é uma maneira relativamente simples de capturar o número da conta. Mas os cartões de débito são ainda mais desejáveis pelas quadrilhas, porque os criminosos podem entrar numa conta bancária rápida e completamente sem que o correntista saiba o que está acontecendo.

A rede do cartão monitora o uso do cartão de crédito, e eles têm políticas rigorosas de prevenção de riscos e fraudes. Em contraste, os cartões de débito ligam-se diretamente à conta corrente, embora obter o PIN associado ao cartão de débito seja um pouco mais difícil.

O jeito high-tech mais comum de roubar os PINs são por meio de minúsculas câmeras montadas com um espelho olho-de-peixe e com um dispositivo eletrônico sobreposto ao teclado. Os criminosos são frequentemente pegos enquanto estão montando ou removendo tais câmeras, mas recentemente eles descobriram meios menos óbvios de roubar PINs.

Os PINs podem ser de quatro ou seis dígitos. Quando sua chave é seu PIN, o software da ATM ou do ponto de venda o converte automaticamente em um algoritmo de caminho único chamado hash. Assim, se alguém captura a corrente de dados, ele verá apenas o valor hash resultante, não os quatro ou seis dígitos originais.

Por si mesmo, um PIN que passou pelo hash é uma sequência inútil de números. Você não pode digitar esse número, porque esses dígitos seriam convertidos em outro valor. Em vez disso, você teria de encontrar um modo de gerar esse hash, e até recentemente isso não era muito fácil.

Em 2008, o FBI revelou que criminosos usaram os PINs de correntistas do Citibank durante um golpe em Manhattan. De acordo com documentos da agência, os criminosos localizaram os dados do PINs por meio de uma brecha de segurança; analisaram e decriptaram o algoritmo utilizado, e então geraram uma tabela com todos os números possíveis de quatro e seis dígitos que o algoritmo poderia produzir – o que é chamado, em criptografia, de Tabela Rainbow.

Os criminosos não tiveram de achar o número exato do PIN; eles tinham apenas de encontrar um número de quatro ou seis dígitos capazes de produzir o mesmo valor hash.

Banco Real da Escócia

Mesmo que os criminosos possam reproduzir o valor hash encriptado, eles não podem sacar mais que certa quantia durante uma única transação ou num certo período de tempo – a menos que alguém de dentro do banco ajuste esses valores. Isso aconteceu em 8 de novembro de 2008, quando uma gangue roubou a empresa de processamento de pagamentos RBS Worldpay, ligado ao Royal Bank of Scotland. Em um período de 12 horas, eles sacaram cerca de 9,4 milhões de dólares de caixas eletrônicos em 230 cidades de todo o mundo. Enquanto isso, alguém de dentro aumentava os limites de saque das contas – em um dos casos, para 500 mil dólares.

Um suspeito natural da Estônia foi extraditado para os Estados Unidos em agosto de 2010. Outro suspeito – Victor Pleshchuk, de 28 anos – foi condenado a quatro anos de liberdade condicional por uma corte russa. Um terceiro suspeito, não identificado, permanece em liberdade.

Proteja-se nas ATMs

Desde os ataques de 2008, as redes bancárias e de cartão de crédito melhoraram consideravelmente seus sistemas de retaguarda. Os fabricantes de caixas eletrônicos oferecem agora melhor proteção de dados, por meio de tecnologias avançadas. Por exemplo, os filtros de privacidade fazem com que as telas dos caixas eletrônicos tornem-se ilegíveis quando vistos de certos ângulos, para prevenir a ação de bisbilhoteiros. Alguns caixas têm teclados afundados para que câmeras não possam registrar sua senha, e agitam os cartões inseridos para que os chupa-cabras não possam lê-los.

Apesar dos avanços, quando ficar diante de um caixa eletrônico e tiver qualquer razão para suspeitar de que a máquina possa estar comprometida, não a use. Você pode querer passar os dedos no leitor do cartão para ver se há algo solto ou que simplesmente não combina. Se descobrir algo, informe ao banco e procure outro caixa para realizar sua transação.

Segurança no ponto de venda

É muito mais difícil detectar golpes nos terminais de ponto de venda, especialmente nas bombas de gasolina. O mais seguro, nesse caso, é usar um cartão de crédito em vez de um de débito quando pagar por gasolina, já que as redes dos cartões vão detectar e impedir fraudes rapidamente. Os consumidores de cartão de crédito são frequentemente cobertos por programas de seguro contra fraudes; mas, com cartões de débito, pode não ser o caso, dependendo do seu banco.

O chupa-cabras é apenas mais um golpe. À medida que as pessoas se tornam mais cautelosas – e a indústria de ATMs e meios de pagamentos ficam mais espertas – os criminosos passam a mudar de tática. Por enquanto, a dica é: consumidores e correntistas, cuidado.

Nenhum comentário: